Kazalo:
Opredelitev - Kaj pomeni ugrabitev seje?
Ugrabitev seje se zgodi, ko se po spletnem strežniku po uspešnem preverjanju pristnosti odjemalčevega brskalnika v brskalnik odjemalca pošlje žeton seje. Napad za ugrabitev seje deluje, ko ogrozi žeton tako, da zaseže ali ugiba, kakšna bo avtentična seja žetona, s čimer pridobi nepooblaščen dostop do spletnega strežnika. Posledica tega je lahko vohanje seje, napadi "človek v sredini" ali "človek v brskalniku", Trojanci ali celo izvajanje zlonamernih kod JavaScripta.
Spletni razvijalci so še posebej previdni pri ugrabitvi seje, ker lahko piškotke HTTP, ki se uporabljajo za vzdrževanje seje spletnega mesta, napadalec napadi.
Tehopedia razlaga ugrabitev seje
V zgodnjih dneh protokol HTTP ni podpiral piškotkov, zato spletni strežniki in brskalniki niso vsebovali protokola HTTP. Evolucija ugrabitve seje se je začela leta 2000, ko so bili implementirani strežniki HTTP 1.0. HTTP 1.1 je bil spremenjen in moderniziran tako, da podpira super piškotke, zaradi katerih so spletni strežniki in spletni brskalniki postali bolj ranljivi za ugrabitev sej.
Spletni razvijalci lahko uporabijo določene tehnike, s katerimi se izognejo kraji sej na svojih spletnih mestih, vključno z načini šifriranja in uporabo dolgih naključnih števil za ključe seje. Druge rešitve so spreminjanje zahtevkov za vrednost piškotkov in izvajanje regeneracij sej po prijavah. Firesheep, razširitev Firefoxa, je omogočil napadi za ugrabitev javnih uporabniških sej z dovoljenjem dostopa do osebnih piškotkov. Spletna mesta družbenih omrežij, kot sta Twitter in Facebook, so tudi ranljiva, ko jih uporabniki dodajo svojim željam.
